Silver Fox маскируется под установку Microsoft Teams для распространения вредоносного ПО ValleyRAT
Дата: 05.12.2025Просмотров: 2455
Silver Fox маскируется под установку Microsoft Teams для распространения вредоносного ПО ValleyRAT
Серия целенаправленных атак против китайских предприятий раскрыта исследователями ReliaQuest. Операция осуществляется группой киберугроз под названием Silver Fox, действующей в Китае. Для достижения своих целей злоумышленники используют популярное программное обеспечение Microsoft Teams, распространяя вредоносные файлы под видом официальных инсталляторов. Данная схема началась в ноябре 2025 года и активно используется для внедрения malware ValleyRAT, известной ранее как Winos 4.0.
♻ Особенности атаки:
1. Имитация российского происхождения: Хакерская группа специально добавила элементы русского языка в используемое ими вредоносное ПО, пытаясь ввести исследователей в заблуждение относительно истинного автора атаки. По мнению эксперта ReliaQuest Хейдена Эванса, такое поведение создаёт впечатление причастности россиян, хотя на самом деле ответственность несёт китайский коллектив.
2. Поддельный сайт Microsoft Teams: Пользователи получают предложение скачать установочный пакет якобы официальной программы Microsoft Teams с сайта, размещённого на серверах Alibaba Cloud. Архив имеет название MSTчamsSetup.zip, подчеркивая внимание к русскоязычным элементам. Внутри архива содержится вирусный файл Setup.exe, представляющий собой подделку стандартного установочного пакета Teams.
3. Скрытая деятельность: Троянизированная версия Teams проверяет активные процессы на предмет наличия защитных утилит, таких как антивирус 360 Total Security. Затем вредонос добавляет исключения в список доверенных объектов Microsoft Defender, копирует себя в скрытые директории и запускает оттуда, продолжая своё распространение.
4. Методы повышения привилегий: После успешной регистрации основной программы, атакующая сторона применяет дополнительные механизмы, включая создание временных файлов в AppData, запись конфигурационных данных и активацию скрытого соединения с управляющим сервером. Инфицированные машины становятся управляемыми дистанционно, позволяя злоумышленнику получать доступ к данным, исполнять команды и сохранять длительное присутствие в сети.
♻ Последствия и риски:
1. Финансовая выгода: Основным мотивом Silver Fox являются денежные махинации и хищения финансовых активов жертв. Уязвленные компании несут значительные убытки, теряют важную информацию и страдают от последствий нарушения конфиденциальности.
2. Геополитическое преимущество: Помимо денежных преступлений, Silver Fox собирает секретные разведданные, используя инфицированные устройства для шпионажа и влияния на политические события.
3. Правдоподобное отрицание: Сложная структура атаки и манипуляции с языком позволяют группе сохранить анонимность и избежать прямой ответственности. Отсутствие связи с государственными органами облегчает проведение операций.
♻ Другие методы доставки:
Ранее группа Silver Fox использовала похожие схемы с другим популярным программным обеспечением, включая Google Chrome, Telegram, WPS Office и DeepSeek. Все они приводили к аналогичному финалу — проникновение ValleyRAT на компьютер жертвы.
Исследования показывают, что данная операция отличается высоким уровнем подготовки и технической сложности. Использование таких механизмов, как BYOVD (Bring Your Own Vulnerable Driver), демонстрирует желание группы повысить эффективность эксплуатации имеющихся недостатков безопасности.
В заключение, эксперты призывают к повышенной бдительности и настоятельно рекомендуют компаниям регулярно проверять защиту своих сетей и использовать специализированные инструменты для предотвращения проникновения вредоносных программ.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Обновления Windows разрушают стабильность системы: что ждёт корпоративных пользователей?
Обновления Windows разрушают стабильность системы: что ждёт корпоративных пользователей?
Корпорация Microsoft продолжает сталкиваться с проблемами качества своих продуктов, особенно в части выпуска обновлений. Несмотря на существование программы предварительного тестирования Windows Insider, призванной выявить баги перед публичным релизом, недавние изменения демонстрируют обратный эффект, ставя под угрозу работоспособность операционной системы для бизнеса.
SmartTube угрожает вашим устройствам на Android TV: опасная версия популярного приложения
SmartTube угрожает вашим устройствам на Android TV: опасная версия популярного приложения
Столкнувшись с серьезной проблемой безопасности, разработчики популярной альтернативы YouTube-плеера для Android TV были вынуждены предпринять срочные меры. Что случилось с приложением SmartTube и почему его старым пользователям настоятельно рекомендуется немедленно обновить программу?
Начало массового обновления смартфонов Nothing Phone (2), Phone (2a) и Phone (2a) Plus до новейшей версии Nothing OS 4.0
Начало массового обновления смартфонов Nothing Phone (2), Phone (2a) и Phone (2a) Plus до новейшей версии Nothing OS 4.0
Компания Nothing официально запустила глобальное распространение новой операционной системы Nothing OS 4.0, построенной на базе свежей версии Android 16, для владельцев смартфонов Nothing Phone (2), Phone (2a) и Phone (2a) Plus. После успешного завершения этапа публичного тестирования, релиз-кандидат начал своё развертывание. Стоит отметить, что ранее обновление получили владельцы смартфона Nothing Phone (3).